A Lei 13.709/18, Lei de Proteção de Dados Pessoais (LPD), inspirada no, também recente, Regulamento Geral de Proteção de Dados (GDPR, na sigla em inglês) da União Europeia, estabelece normas rigorosas para a proteção dos dados pessoais.
Com impacto grande na sociedade, o regramento para o uso de dados pessoais no Brasil, tanto online quanto offline, nos setores privado e público, causa maior impacto sobre pequenas e médias empresas, incluindo startups.
Antes da regra, essas empresas de menor porte não eram obrigadas a se preocupar com questões técnicas e de governança corporativa, como o uso de criptografia em dispositivos que armazenam dados pessoais.
A legislação que entrou em vigor, agora, em 2020, trás pontos de destaque. A começar pela criação do encarregado pelo tratamento de dados pessoais, aquele que realiza o tratamento de dados de acordo com as instruções fornecidas pelo controlador.
Novas funções
Para grandes e médias empresas há a necessidade da criação de um outra figura dentre os cargos executivos, o DPO (Data Protection Officer), profissional que irá atuar no planejamento estratégico da empresa, cuidando da política de proteção de dados e orientando os diversos departamentos a atender os requisitos exigidos.
Estes novos profissionais responderão diretamente à agência reguladora responsável pela fiscalização, a ANPD (Agência Nacional de Proteção de Dados). A qual também deve receber o relatório de impacto à privacidade.
Relatório de impacto à privacidade
O documento fornecido às autoridades é obrigatório e deve conter a descrição dos processos de tratamento dos dados pessoais que possam gerar riscos aos direitos de seus titulares e as medidas de preservação dos dados.
Na LGPD, as penalidades estabelecidas são rígidas, dentre elas estão advertências e, até mesmo multas que podem chegar a 2% do faturamento da empresa.
Esses pontos reforçam ainda mais a necessidade de uma estruturada política interna de tratamento de dados destinada aos colaboradores e prestadores de serviços, orientando comportamentos esperados para resguardar a segurança dos dados pessoais tratados na empresa.
